ロールの委任を有効にする方法
デフォルトでは、事前定義済のHCMジョブ・ロールまたは抽象ロールに対して委任が有効になっていません。 「従業員」および「派遣就業者」抽象ロールを除き、事前定義済HCMロールの委任設定を変更できます。
また、HCMデータ・ロール、カスタム・ジョブ・ロールおよびカスタム抽象ロールの委任を有効にすることもできます。 このトピックでは、ロール委任の管理方法について説明します。 次のものを使用できます。
-
「設定および保守」作業領域の「ロールへのセキュリティ・プロファイルの割当」タスク
-
「ワークフォース・ストラクチャ」作業領域の「データ・ロールおよびセキュリティ・プロファイルの管理」タスク
ロール委任を管理するには、「ITセキュリティ・マネージャ」ジョブ・ロールが必要です。
- 従業員は自分のロールを委任できます。
- 人事担当者は、従業員の代理としてロールを委任できます。
各ロールの委任を有効にした場合の影響を評価する必要があります。 ITセキュリティ・マネージャなどの一部のロールでは、機密が扱われ、厳しく制限された情報への幅広いアクセス権が付与されます。 このようなロールは、組織内で選ばれた個人にのみ付与する必要があり、委任を使用できるように設定しないでください。 ロールに対して委任を有効にする前に、そうした場合のダウンストリームへの影響を慎重に評価する必要があります。 委任が誤って付与されていないことを確認するために、機密を扱うロールを定期的に確認することをお薦めします。
HCMデータ・ロールの委任
HCMデータ・ロールを作成する際に、「データ・ロールの作成: ロールの選択」ページで委任が許可されているかどうかを示すことができます。
HCMデータ・ロールを編集する際に、「データ・ロールの編集: ロール詳細」ページで委任設定を変更できます。 「委任許可」オプションの選択を解除しても、現在委任されているロールは影響を受けません。
個人レコードへのアクセスがカスタム基準を使用して管理されるHCMデータ・ロールを委任できます。 ただし、個人セキュリティ・プロファイルの「カスタム基準」セクションのSQL述語は、委任ロジックを処理する必要があります。
ロール委任の監査
委任ロール・ビジネス・オブジェクトの監査をオンにすることをお薦めします。 「代理に委任されたロール」または「委任者により委任されたロール」のいずれかで監査情報を取得するよう選択できます。 監査の設定および使用の詳細は、Oracle HCM Cloudビジネス・オブジェクトを監査する方法のトピックを参照してください。
監査ログをレビューするために、定期的なモニタリング・コントロールを適用することをお薦めします。 このようなレビューは、ロールの委任がセキュリティ・プラクティスに沿っていることを確認するのに役立ちます。 監査は監査設定の変更に対しても実行する必要があり、限定されたユーザーのみが監査構成を更新できるようにします。
カスタム・ジョブ・ロールおよび抽象ロールの委任
抽象ロールを作成する場合、抽象ロールにセキュリティ・プロファイルを直接割り当てる際に委任に対して抽象ロールを有効化できます。 抽象ロールにセキュリティ・プロファイルを割り当てるには、「ロールへのセキュリティ・プロファイルの割当」タスクを実行します。 「データ・ロールの編集: ロール詳細」ページで、「委任許可」を選択します。 ロールを送信するとすぐに、委任が有効になります。
自分自身のレコードへのアクセスを委任することはできません。 たとえば、事前定義済の自身のレコードの表示セキュリティ・プロファイルをカスタム・ロールに割り当てることができます。 または、自身のレコードへのアクセスを有効にする個人セキュリティ・プロファイルを作成し、それをカスタム・ロールに割り当てることもできます。 どちらの場合でも、委任に対してロールを有効化できます。 ロール自体は委任できますが、レコードへのアクセスは委任されません。 ただし、委任されたロールは、他のデータ・インスタンスへのアクセスを提供できます。
同様に、委任に対してカスタム・ジョブ・ロールを有効化できますが、カスタム・ジョブ・ロールにセキュリティ・プロファイルを直接割り当てることはまずありません。 通常、ジョブ・ロールは、委任に対して有効化できるHCMデータ・ロールによって継承されます。